主防抽风了还是设计如此？

kfne12

过360主防的方法太多了，如果不是用单文件绕过的话，方法更多了，所以这贴不是讨论绕过主防什么的，而是讨论一下，为什么对某个案例，我这里出现了偶尔拦截大多时候不拦截的情况，是不是有什么BUG。。。

附件是一个快捷方式写启动的测试例子，不是木马，只是测试用的。
我这里测试是这么个情况：
通常第一次运行会拦截，写启动失败，紧接着第二次再运行打死就不拦截了。运行多少次都不拦截。然后我放着不管，等过了5分钟或者更长时间，再运行一次又拦截了，紧接着再运行又不拦截了。
我不知道这属于是一种有意的设计，还是有什么其他情况。
我感觉有三种情况，不知道属于哪种：
1.本来就应该拦截，拦截不了就是有问题。
2.本来设计上就不应该拦截，偶尔拦截才不正常。
3.社会我360哥，360说老子就是这么设计的，叫你天天测试免杀我，老子就是要把你绕糊涂。

附件测试方法：
先把ftp2.lnk右键属性里的目标里的J:\Windows\System32\ftp.exe -s:2.txt改成你自己电脑的正确的路径，比如C:\Windows\System32\ftp.exe -s:2.txt
再运行ftp2.lnk。
看看HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run有没有被写入启动

360主动防御

本地按照您说的方法测试了一下每次都提示拦截，把它启动项路径从j盘改到c盘也能拦截

kfne12

360主动防御 发表于 2018-4-13 16:19
本地按照您说的方法测试了一下每次都提示拦截，把它启动项路径从j盘改到c盘也能拦截

如果你试验无误，确实是每次都能拦截，
那可能就是360在我的系统环境里遇到点问题了？
我这里只能做到偶尔拦截。

我呆会换个虚拟机试试。

360主动防御

kfne12 发表于 2018-4-13 16:27
如果你试验无误，确实是每次都能拦截，
那可能就是360在我的系统环境里遇到点问题了？
我这里只能做到 ...

好的，如果方便的话我等一下QQ远程看一下，或者您在虚拟机内再测试一下，有问题随时沟通

kfne12

360主动防御 发表于 2018-4-13 16:30
好的，如果方便的话我等一下QQ远程看一下，或者您在虚拟机内再测试一下，有问题随时沟通

虚拟机32位的win7也是差不多。
先是怎么都不拦截。然后过了一会再运行连续拦截了10几次，然后再运行又死活不拦截了。

我估计你是次数没试够。试个四次五次没用，试个20次30次50次的肯定就会出现不拦截了。
说不定360就是这么设计的，可能是综合考虑了一些因素，采用了云控拦截的方式，导致这种情况的发生。

kfne12

360主动防御 发表于 2018-4-13 16:30
好的，如果方便的话我等一下QQ远程看一下，或者您在虚拟机内再测试一下，有问题随时沟通

想了想，这个问题还是想请你帮我问问开发。
不排除就是这么设计的。但是万一真有什么bug呢。。。

360主动防御

kfne12 发表于 2018-4-14 21:45
想了想，这个问题还是想请你帮我问问开发。
不排除就是这么设计的。但是万一真有什么bug呢。。。

好的，我按照您说的再测试一下